Azure AD-synchronisatievereisten met Apple Business Manager
Je kunt het System for Cross-domain Identity Management (SCIM) gebruiken om gebruikers naar Apple Business Manager te importeren. Met dit systeem voeg je eigenschappen van Apple Business Manager (zoals rollen) samen met gebruikersaccountgegevens die zijn geïmporteerd uit Microsoft Azure Active Directory (Azure AD). Wanneer je SCIM gebruikt om gebruikers te importeren, worden de accountgegevens als alleen-lezen toegevoegd totdat je de verbinding met SCIM verbreekt. Op dat moment worden de accounts handmatige accounts. Vervolgens kunnen kenmerken in deze accounts worden bewerkt. De eerste synchronisatie met Apple School Manager duurt langer dan de volgende cycli, die ongeveer elke 40 minuten plaatsvinden zolang de Azure AD-inrichtingsservice actief is. Zie Tips voor inrichting op de website met Microsoft Azure-documentatie.
Azure AD-bevoegdheden
De volgende rollen in Azure AD kunnen SCIM gebruiken om accounts te synchroniseren met Apple Business Manager:
Programmabeheerder
Cloudprogrammabeheerder
Programma-eigenaar
Algemene beheerder
Zie Ingebouwde Azure AD-rollen op de website van Microsoft Azure AD.
Azure AD-tenants
Als je SCIM wilt gebruiken met Apple Business Manager, mag je organisatie niet dezelfde Azure AD-tenant hebben als een andere Apple Business Manager-organisatie. Als je SCIM voor je organisatie wilt gebruiken, neem dan contact op met je Azure AD-beheerder om ervoor te zorgen dat geen andere Apple School Manager-organisatie je Azure AD-tenant gebruikt voor SCIM.
Azure AD-groepen
In Azure AD gebruiken beide synchronisatiemethoden het woord Groepen, maar worden alleen gebruikersaccounts gesynchroniseerd. Je kunt Azure AD-groepen toevoegen aan de Apple Business Manager Azure AD-app. Als je bijvoorbeeld groepen in Azure AD hebt met de naam Engineering, Marketing en Verkoop, kun je die drie groepen toevoegen aan de Apple Business Manager Azure AD-app. Als je verbinding maakt via SCIM, worden alleen accounts in die groepen gesynchroniseerd met Apple Business Manager.
Opmerking: Subgroepen worden niet ondersteund in de Apple Business Manager Azure AD-app.
Inrichtingsbereik
Er zijn twee manieren waarop je accounts van Azure AD naar Apple Business Manager kunt synchroniseren.
Alleen toegewezen gebruikers en groepen synchroniseren: Met deze optie worden alleen de accounts die worden weergegeven in de Apple Business Manager Azure AD-app gesynchroniseerd met Apple Business Manager. Wanneer je deze methode gebruikt om te synchroniseren, moeten Azure AD-accounts de rol van gebruiker hebben om te synchroniseren met Apple Business Manager.
Alle gebruikers en groepen synchroniseren: Met deze optie worden alle accounts (synchronisatiegroepen wordt niet ondersteund) die worden weergegeven op het tabblad Azure AD-gebruiker gesynchroniseerd met Apple Business Manager en worden beheerde Apple ID's aangemaakt voor alle gefedereerde Azure AD-accounts, zelfs als je van plan bent slechts een specifiek aantal accounts te gebruiken.
Raadpleeg de Microsoft Support-artikelen Wat is geautomatiseerde gebruikersinrichting voor SaaS-toepassing in Azure AD? en Toewijzing van toepassingen op basis van kenmerken met bereikfilters.
Inrichtingsmeldingen
Als je de inrichting configureert, moet je het e-mailadres gebruiken van een gebruiker met de rol beheerder of personenmanager zodat zij meldingen kunnen ontvangen van Azure AD.
SCIM en gefedereerde authenticatie
Als federatie al is ingeschakeld wanneer de Azure AD-accounts naar Apple Business Manager worden verzonden, zie je geen activiteit, maar worden de accounts nog steeds gesynchroniseerd vanaf het gefedereerde domein.
Azure AD is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple Business Manager en authenticatie-tokens uitgeeft. Omdat Apple Business Manager Azure AD ondersteunt, werken andere identiteitsproviders die verbinden met Azure AD, zoals Active Directory Federated Services (ADFS), ook met Apple Business Manager. Gefedereerde authenticatie gebruikt Security Assertion Markup Language (SAML) om Apple Business Manager te verbinden met Azure AD.
Azure AD-gebruikersaccounts en Apple Business Manager
Wanneer een gebruiker van Azure AD via SCIM naar Apple Business Manager wordt gekopieerd, is de standaardrol Medewerkers. Nadat de synchronisatie is voltooid, kan alleen het gebruikerskenmerk 'Rollen' worden bewerkt. Dit kenmerk wordt met de gebruikersaccount bewaard in Apple Business Manager en wordt niet teruggeschreven naar Azure AD.
Toewijzing van gebruikerskenmerken in SCIM
Wanneer een account van Azure AD via SCIM naar Apple Business Manager wordt gekopieerd, worden de volgende gebruikerskenmerken bewaard als alleen-lezen. De tabel geeft ook aan of het gebruikerskenmerk vereist is.
Belangrijk: Als je kenmerken toevoegt die niet in de tabel staan, wordt de SCIM-verbinding verbroken.
Azure AD-gebruikerskenmerk | Apple Business Manager-gebruikerskenmerk | Vereist |
---|---|---|
Voornaam | Voornaam | |
Achternaam | Achternaam | |
User Principal Name (hoofdnaam gebruiker) | Beheerde Apple ID en e‑mailadres | |
Object-ID | (Niet zichtbaar in Apple Business Manager. Dit kenmerk wordt gebruikt om conflicterende accounts te identificeren.) | |
Afdeling | Afdeling | |
Medewerkers-ID | Persoonsnummer | |
Aangepast kenmerk (moet worden aangemaakt in de Azure AD-app van Apple Business Manager) | Kostenplaats | |
Aangepast kenmerk (moet worden aangemaakt in de Azure AD-app van Apple Business Manager) | Afdeling |
User Principal Name (hoofdnaam gebruiker)
Als een gebruiker een User Principal Name (UPN) heeft die precies hetzelfde is als een bestaande gebruiker die de rol beheerder heeft, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd.
Persoons-ID
Wanneer een Azure AD-gebruiker wordt gesynchroniseerd met Apple Business Manager, wordt er een persoons-ID aangemaakt voor de Apple Business Manager-gebruikersaccount. De persoons-ID en object-ID worden gebruikt om conflicterende accounts te identificeren.
Als je de persoons-ID wijzigt voor een account die eerder uit SCIM is geïmporteerd, wordt die account niet meer gekoppeld aan Azure AD. Als je de persoons-ID hebt gewijzigd voor een account die eerder uit SCIM is geïmporteerd en je wilt de account opnieuw verbinden met SCIM, raadpleeg je Conflicten SCIM-gebruikersaccounts oplossen.
Aanbevelingen
Gebruik alleen de Apple Business Manager Azure AD-app wanneer je verbinding maakt met SCIM.
Als je een geverifieerd domein hebt maar geen gefedereerde authenticatie hebt ingeschakeld, moet je wachten met het inschakelen van federatie totdat je hebt geverifieerd dat de Azure AD-gebruikers naar Apple Business Manager zijn verzonden. Dit kun je doen door de Azure AD-inrichtingslogboeken te bekijken. Nadat je hebt gecontroleerd of de Azure AD-gebruikers zijn verzonden, ontvang je bij het inschakelen van federatie een melding van een activiteit wanneer Azure AD-gebruikers worden ingericht. Als federatie al is ingeschakeld wanneer de Azure AD-gebruikers worden verzonden, zie je geen activiteit, maar worden de accounts nog steeds gesynchroniseerd.
Als je een groep hebt geconfigureerd in Azure AD, kun je die groep toevoegen aan de Apple Business Manager Azure AD-app in plaats van elke gebruiker toe te voegen.
Belangrijk: Gebruik een gebruikersnaam niet opnieuw gedurende 30 dagen in de Apple Business Manager Azure AD-app.
Voordat je aan de slag gaat
Voordat je aan de slag gaat, moet je het volgende doen:
Configureer en verifieer het domein dat je wilt gebruiken. Zie Aan nieuwe domeinen koppelen.
Configureer gefedereerde authenticatie (maar schakel dit niet in). Raadpleeg Authenticatie inschakelen en een test uitvoeren
Opmerking: Als gefedereerde authenticatie al is ingeschakeld, kun je nog steeds doorgaan. Zie de aanbevelingen in het vorige gedeelte.
Bepaal het type synchronisatie in Azure AD en maak indien nodig groepen aan om alleen toegewezen accounts met de Apple Business Manager Azure AD-app te synchroniseren:
Alleen toegewezen gebruikers synchroniseren.
Alle gebruikers synchroniseren.
Laat een Azure AD-beheerder met bevoegdheden om bedrijfstoepassingen te bewerken op stand-by staan. Als jullie er allebei klaar voor zijn, raadpleeg dan SCIM gebruiken om gebruikers te importeren.